Documente Academic
Documente Profesional
Documente Cultură
SEGURIDAD
Pgina 1 de 8
Introduccin
Este trabajo lo realic a solicitud de un grupo de colegas, con el objetivo de contribuir modestamente con personas e
instituciones que me han solicitado consejo y ayuda para mejorar la seguridad de sus procesos informatizados, es una
compilacin de mi experiencia personal en ms de 30 aos de desempeo como especialista principal de sistemas,
administrador de redes, funcionario en seguridad, auditor de seguridad y Especialista en Seguridad Informtica,
Considero Oportuno Preceder Este Trabajo Con El Pensamiento De Descartes en su obra magistral el Discurso de
Mtodo cuando sentencio.
Mi propsito no es ensear aqu, el mtodo que cada cual debe seguir para guiar acertadamente su razn, sino
solamente el de mostrar de que manera he tratado de guiar la ma, utilizando esta gua de referencia, que puede
tener errores; pues cada da la vida nos ensea, que la experiencia es una cadena de errores, que no sabemos nada y que
por ello hay que estudiar y aprender sistemticamente con mtodo y orden.
Los objetivos que pretendemos alcanzar con este trabajo son los siguientes:
1)
2)
3)
4)
5)
I) Diagnostico de seguridad.
Los procesos de negocios, y sus las infraestructuras tecnolgicas estn expuestos hoy en da a un importante nivel de
amenazas externas e internas, que ponen en riesgo la seguridad de la informacin, de los negocios y de los activos
recursos que soportan las operaciones.
De ello se deriva la necesidad investigar y analizar para caracterizar y conocer los riesgos asociados a estos procesos y
su entorno, las amenazas que se generan contra sus activos, el costo del impacto de materializacin y las fortalezas y
debilidades de su estructura de gestin de seguridad, as como el respaldo y su capacidad de recuperacin ante
desastres y la posibilidad de continuidad de los procesos de negocios.
Esto es lo que se conoce como diagnostico de seguridad o anlisis de riesgos y no es ms que el la modelacin de los
procesos y su anlisis de modo tal que podamos conocer:
a) La importancia o nivel de criticidad de cada proceso en el sistema.
b) La secuencia de tareas que componen cada proceso.
c) Las informaciones que se procesan se utilizan o generan en cada proceso, su clasificacin y valor para la entidad y
terceros.
d) Los equipos o conjuntos de estaciones y servidores que se utilizan para ejecutar las tareas en cada proceso.
e) El software o aplicaciones que se utilizan para gestionar cada proceso en las estaciones y los servidores.
f) Las prestaciones y configuracin de las estaciones y servidores que ejecutan las tareas en cada proceso.
g) La informacin esencial en cada servidor o equipo que debe ser respaldada para garantizar la continuidad del
proceso.
h) La asignacin de prioridades y los tiempos de recuperacin para cada proceso de negocio.
i) El valor del proceso o partes del mismo a proteger y los costos derivados de su prdida.
Algunos expertos han cuestionado la validez real de los diagnsticos de seguridad, con lo cual no coincidimos ya que
en nuestra modesta experiencia profesional y la de los colegas con los que he trabajado en equipo en los ltimos 15,
nos ha permitido corroborar que un peligro previsto, es un peligro abolido o controlado, por ello consideramos que un
diagnostico de seguridad "bien hecho" s que es til siempre que se cumplan las siguientes premisas:
Estar enfocados a identificar y precisar los activos y recursos a proteger e involucrar a los dueos de la
informacin.
Conocer realmente el nivel de riesgo aceptable con el cual puede vivir una organizacin, y la capacidad del
sistema de gestin de seguridad para detectar las amenazas y proponer las alternativas para poder manejarlos.
La Direccin General tiene la responsabilidad de atender y facilitar lo necesario para llevar a cabo el Diagnostico
de Seguridad y cumplir sus recomendaciones.
Su alcance no puede estar limitado a la infraestructura tecnolgica de informtica y comunicaciones, debe
extenderse a todos los proceso de negocios integralmente.
Debe concluirse lo antes posible o sea en semanas, no en meses o aos.
Debe identificar todos los controles existentes y evaluar su viabilidad y efectividad mediante un anlisis costobeneficio, el cual permita conocer si estos controles son los que realmente necesitan la entidad.
Debe estar sustentado en mapas de riesgos en donde se identifiquen todos los elementos sistmicos que integran
los procesos, sus puntos vulnerables, los riesgos asociados a los mismos y las amenazas que pueden materializarse.
Es necesario que las amenazas estn identificadas con un factor de riesgo y seleccionar adecuadamente los
controles tcnicos, administrativos, y operacionales que ofrecern un nivel rentable y aceptable de proteccin a los
activos.
Es importante listar todos los controles considerados y clasificarlos, ya que esto permitir corroborar si lo que fue
considerado es efectivo y rentable, as como si pueden reducir la exposicin de riesgo de ms de una amenaza,
aumentando as su costo-beneficio.
A continuacin damos una lista de referencia de ejemplo algunos de los aspectos bsicos que no pueden faltar en el
anlisis funcional o modelacin para hacer un diagnostico de seguridad:
Sistema de gestin, Polticas, planes de seguridad y base reglamentaria
Debe verificarse que:
a) Que estn aprobadas por la Direccin General de la entidad de un grupo de polticas de seguridad sobre los
siguientes aspectos:
Administracin del dominio.
Seguridad Fsica y Ambiental
Uso y asignacin de recursos de la organizacin.
Respaldo y almacenaje de Informacin.
copias de seguridad y su almacenaje.
Normas para el acceso y uso de servicios tales, como Correo Electrnico, Internet servicios de ficheros,
accesos remoto y publicacin informacin en sitios Web
Mantenimiento Preventivo, adquisicin, modernizacin y baja tcnica de equipos.
c) Exista una estructura de gestin de seguridad que disponga de sus planes correspondientes segn establece la
legislacin vigente y se conozca la base reglamentaria para la implementacin de estas polticas y del sistema
control de su cumplimiento.
Inventario de Hardware y Software y evaluacin de su valor:
Debe verificarse que:
Estn controlados que tipos de equipos se estn utilizando en la empresa u organizacin, los modelos, y tipos cada
equipo, lo cual garantiza que exista un estndar de equipos, con semejantes configuraciones, y as al momento de
tener que realizar algn tipo de reparacin, poder saber que tipo de piezas son las que necesita, o si tiene en stock
para una sustitucin mucho mas rpida.
Se tenga todo el software que existe dentro de sus equipos de cmputo, debidamente identificado, y con sus
respectivas licencias, ya que esto les brinda un respaldo de tipo legal.
Tanto el software con el hardware estn evaluados financieramente segn los siguientes criterios de medida:
El valor intrnseco del producto a proteger:
9 Valor del hardware. Las computadoras y de sus perifricos.
9 Valor del software. Programas y aplicaciones.
9 Valor de los resultados de investigacin, patentes, etc., almacenados.
9 Coste del esfuerzo y material invertido para obtener los datos.
9 Valor de la informacin personal que contiene.
Los costes derivados de su prdida.
9 Valor de sustituir el hardware.
9 Valor de sustituir el software.
9 Valor de los resultados.
9 Coste de reproducir los experimentos significativos.
9 Coste de regenerar la informacin personal.
Seguridad de la red e Internet.
Este tema es muy complejo y diverso, y vital para la seguridad por lo que hay que revisar en detalle los siguientes
aspectos:
Que la configuracin de la red se corresponda con las polticas de seguridad aprobadas.
Inventario de las direcciones IP publicas que posee la empresa, as como el uso o propsito de cada una, ya que de
no existir un control de esto, estas direcciones se convierten en una vulnerabilidad fuerte para la empresa u
organizacin.
Polticas de navegacin aplicadas a nivel de Firewall de Software que se integre al controlador de dominio para
restringir el acceso a pginas o recursos de Internet por IP y usuario y al mismo tiempo optimizar el uso del ancho
de banda contratado del enlace y optimizar el tiempo de los empleados.
Sistema de actualizacin de los parches de seguridad y vulnerabilidades de todos los servidores de la organizacin
y las estaciones de trabajo.
Utilizar de herramientas de momitero de red y deteccin de vulnerabilidades.
Productos antivirus y Anti Spam
Implementacin de IDS.
Inspeccin total de paquetes en transito.
V) Principios, mtodos, reglas ticas y legales a cumplir por el especialista que realiza el
diagnostico.
Realizar un diagnostico de seguridad es una tarea, difcil de mucha responsabilidad y que obliga a mantener una
conducta tica e impecable por ello hay asumir una actitud profesionalmente estratgica que posibilite:
1). Apreciar y observar la situacin existente para caracterizar e identificar los puntos vulnerables, sus causales y
consecuencias, as como las amenazas que pueden aprovecharlas apoyndose en el uso de herramientas de
modelacin y tcnicas efectivas para recopilar informacin.
2). Aplicar a la informacin recopilada un orden lgico y una organizacin que permita el enfoque y estudio de los
elementos mediante el uso adecuado de papeles de trabajo bien organizados y referenciados.
3). Trazar un plan o programa de inspeccin en forma progresiva (cronolgica) y de relacin (referencia, antelacin) y
de importancia.
4). Desligarnos de toda subjetividad
5). Eliminar los contagiosos prejuicios.
6). Observar e identificar los obstculos, fricciones y posibles enemigos con que nuestra actuacin va a tropezar u
enfrentarse.
7). Debemos buscar hechos y sucesos y no opiniones, debemos preguntar, y volver a preguntar, observar, comprobar
y verificar la veracidad de todo lo preguntado y observado.
d.) Presentar un informe con los resultados del diagnostico el cual pudiera tener ms o menos la siguiente
estructura:
a) Identificacin o denominacin del sistema o proceso diagnosticado.
b) Periodo en que se realizo el diagnostico.
c) Especialista Lder y otros participantes.
d) Criterios de medida u objetivos chequeados.
e) Resultados del diagnostico
f) Aspectos o elementos no conformes con los requisitos regulatorios o la base legal vigente.
g) Conclusiones y recomendaciones.